February 2008

W32/SillyFDC.F 10 Januari 2008

Chaca the Silly Bonek yg suka bolos

Duhai cintaku, sayangku, lepaskanlah
Perasaanmu, rindumu, seluruh cintamu
Dan kini hanya ada aku dan dirimu
Sesaat di keabadian

Selain Ari Lasso yang tertarik berduet dengan BCL (Bunga Citra Lestari), rupanya para programmer virus banyak sekali yang ingin berduet dengan BCL. Bedanya kalau Ari Lasso berduet dengan BCL menghasilkan lagu indah dan sebaliknya pembuat virus berduet dengan BCL (mencatut nama BCL) menyebarkan virus maut. Nama BCL memang sangat menjual dan sangat banyak digunakan oleh pembuat virus untuk memancing korbannya menjalankan virus. Salah satunya adalah virus Bonek yang lebih dikenal dengan nama love-chaca yang memalsukan diri sebagai file gambar JPEG dengan nama “Bikini Bunga Citra Lestari” (lihat gambar 2).

Jika anda sering menonton pertandingan sepakbola, tentu sudah familiar dengan kata “Bonek” yaitu singkatan dari “Bondo Nekat”. Bonek yang diidentikkan sebagai sekelompok pendukung (suporter) sepakbola bermodal nekat (tongpes alias kantong kempes) dari kota “Pahlawan” Surabaya.

Kini, anda perlu berhati-hati karena telah menyebar virus bonek love chaca (school is hell). Dengan update terbaru Norman Virus Control mendeteksinya sebagai W32/SillyFDC.F.

Virus ini sulit untuk di matikan baik dalam kondisi normal, safe mode maupun safe mode with command prompt. Selain itu, virus ini dapat menghapus file executable (*.exe) yang dianggap dapat membahayakan dirinya, khususnya jika kita sudah terinfeksi kemudian berusaha untuk mematikan proses virus tsb.

Jika anda tidak ingin terinfeksi oleh virus tsb, maka waspadalah terhadapa jenis file virus ini yang menggunakan icon gambar Jpeg, berukuran sekitar 122 kb dan bertype file application, karena system penyebaran virus ini begitu mudah dengan mengandalkan system autoplay windows sehingga mudah menyebar melalui media USB Flash. (lihat gambar 2)

Jika dijalankan (baik secara sadar atau tidak sadar oleh user), maka virus akan membuat sebuah file yaitu “school is hell.doc” pada my documents yang berisi sebagai berikut :

Ya Allah Ya Tuhan Kami

Engkau Yang Maha Pengasih lagi Penyayang

Berikan kami kesabaran, ketabahan dan keikhlasan selalu

Untuk bersabar, lapang dada dan percaya

Pada apa yang dikatakan oleh semua orang

Kalau untuk sekolah harus keluarkan banyak biaya

Kalau untuk belajar kita harus rela mendapat hukuman

Kalau untuk pintar harus bersedia disiksa

Ya Allah

Memang hidup harus disangga dengan harapan

Tapi mampukah kami untuk tidak berputus asa

Jika sekolah hanya melahirkan perbudakan

Ya Allah

Ajarilah kami untuk selalu percaya dengan ucapan alim ulama

Yang selalu memberi janji kalau orang miskin bukan disini kemenangannya

Berikan kami kesabaran pada janji-janji penguasa

Yang sering mengatakan kalau pendidikan akan menjadi prioritas kebijakannya

Anugerahilah kami ketabahan untuk tidak melakukan pemberontakan

Pada mereka yang kejam dan sewenang-wenang

Ya Allah

Teguhkan hati kami untuk tidak mudah berhamba pada kekayaan dan ketenaran

Amin

File Penunjang Virus

Untuk mempertahankan dirinya, ia akan membuat beberapa file virus yang akan dijalankan setiap kali komputer dinyalakan/restart komputer. Beberapa file virus tsb diantaranya yaitu :

Ø C:\WINDOWS\W90F87Z70V.exe

Ø C:\WINDOWS\system32\A75H74K65J.exe

Ø C:\WINDOWS\I89W73Y87L.exe

Ø C:\WINDOWS\system32\Y68S82D89R.exe

Sebagai penunjang file tsb, ia akan membuat beberapa string pada registry yang diantaranya :

Ø HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\winlogon

· Userinit = C:\windows\system32\userinit.exe, c:\documents and settings\localservice\local settings\spoolsv.exe

· Shell = explorer.exe C:\documents and settings\localservice\local settings\svchost.exe

· System = C:\Documents and Settings\LocalService\Local Settings\mencerdaskan_Bangsa.exe

Ø HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

· Load = c:\documents and settings\%user%\local settings\application data\csrss.exe

Ø HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AEDebug

· Debugger = C:\Documents and Settings\LocalService\Local Settings\Application Data\lsass.exe

Ø HKEY_CURRENT_USER\Software\Microsoft\Command Processor

· Autorun

Aktif pada Service

Selain itu, ia pun aktif pada service windows dengan membuat string berikut :

Ø Black Parade = C:\WINDOWS\F71B70G66D.exe

Ø Heroes City = C:\WINDOWS\system32\S75T69K83E.exe (lihat gambar 3)

Proteksi File Eksekusi

Untuk memproteksi dari file-file executable, ia membuat string pada registry agar file executable seperti *.exe, *.scr, *.bat, *.pif, *.com, justru malah menjalankan file virus, diantaranya yaitu :

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

Ø HKEY_CLASS_ROOT\exefile\shell\open\command

· (Default)="C:\WINDOWS\system32\S75T69K83E.exe" "%1" %*

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command

Ø HKEY_CLASS_ROOT\batfile\shell\open\command

· (Default)="C:\WINDOWS\system32\S75T69K83E.exe" "%1" %*

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command

Ø HKEY_CLASS_ROOT\comfile\shell\open\command

· (Default)="C:\WINDOWS\system32\S75T69K83E.exe" "%1" %*

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command

Ø HKEY_CLASS_ROOT\scrfile\shell\open\command

· (Default)="C:\WINDOWS\system32\S75T69K83E.exe" "%1" %*

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command

Ø HKEY_CLASS_ROOT\piffile\shell\open\command

· (Default)="C:\WINDOWS\system32\S75T69K83E.exe" "%1" %*

Aktif pada Mode safe mode

Ia pun dapat aktif dalam mode normal maupun safe mode, untuk itu ia membuat string berikut :

Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Safeboot

· AlternateShell=C:\WINDOWS\need-Education.exe

Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Safeboot

· AlternateShell=C:\WINDOWS\need-Education.exe

Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Safeboot

· AlternateShell=C:\WINDOWS\need-Education.exe

Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Safeboot

· AlternateShell=C:\WINDOWS\need-Education.exe

Disable Fungsi Windows

Seperti pada umumnya virus-virus lokal, seperti biasa akan menonaktifkan beberapa fungsi windows. Beberapa fungsi windows yang di blok, yaitu :

- Hidden Drive USB

- Disable Find

- Disable Run

- Disable Registry Editor

- Disable Task Manager

- Disable Command Prompt

- Disable Control Panel

- Disable Explorer Context Menu

- Disable Taskbar Context Menu

Mengalihkan fungsi program menjadi Notepad

Seperti halnya virus pada umumnya, ia akan mengalihkan beberapa fungsi dari program aplikasi dan windows, seperti :

- Msconfig.exe (System Configuration Utility)

- Mmc.exe (Computer Management)

- Regedit.exe (Registry Editor)

- KillVB.exe (Program untuk mematikan aplikasi Visual Basic)

- Rstrui.exe (System Restore)

- Tskmgr.exe (Task Manager)

- Wscript.exe (Windows Scripting Host)

Mengubah Properties System

Salah satu yang diubah oleh virus tsb adalah properties dari system. Jika terinfeksi, maka system properties akan ditambahkan gambar seperti ini : (lihat gambar 4)

Untuk hal tsb, ia akan membuat string pada registry :

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

· RegisteredOrganization=Source of Scream

· RegisteredOwner=Heroes

Serta membuat file oemlogo.bmp dan oeminfo.ini pada C:\WINDOWS\system.

Mengubah Tampilan Folder Options

Fungsi folder options memang tidak di blok, tetapi justru diubah sehingga tetap saja tidak dapat digunakan dengan baik. (lihat gambar 5)

Untuk hal ini dibuat string sebagai berikut :

Ø HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

· Text=h3r035 - love Chaca

Ø HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

· ClassicViewState, Type =

· ControlPanelInMyComputer, Type =

· DesktopProcess, Type =

· DisableThumbCache, Type =

· FolderSizeTip, Type =

· FriendlyTree, Type =

· Hidden, Type =

· HideFileExt, Type =

· NetCrawler, Type =

· PersistBrowsers, Type =

· ShowCompColor, Type =

· ShowFullPath, Type =

· ShowFullPathAddress, Type =

· ShowInfoTip, Type =

· SimpleSharing, Type =

· SuperHidden, Type =

· Thickets, Type =

· WebViewBarricade, Type =

Block website security

Virus ini pun akan mencoba blocking terhadap beberapa website security, dengan cara merubah host file di komputer korban. Berikut hasil file host yang di ubah :

# Sepurane cak, nunut nyangkruk

127.0.0.1 www.vaksin.com

127.0.0.1 vaksin.com

127.0.0.1 www.jasakom.com

127.0.0.1 jasakom.com

127.0.0.1 www.vb-bego.com

127.0.0.1 vb-bego.com

127.0.0.1 www.sysinternals.com

127.0.0.1 sysinternals.com

127.0.0.1 www.avast.com

127.0.0.1 avast.com

127.0.0.1 www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 www.grisoft.com

127.0.0.1 grisoft.com

127.0.0.1 www.symantec.com

127.0.0.1 symantec.com

127.0.0.1 www.norman.com

127.0.0.1 norman.com

127.0.0.1 www.trendmicro.com

127.0.0.1 trendmicro.com

127.0.0.1 www.secunia.com

127.0.0.1 secunia.com

127.0.0.1 www.zonelabs.com

127.0.0.1 zonelabs.com

127.0.0.1 www.pandasoftware.com

127.0.0.1 pandasoftware.com

127.0.0.1 www.f-secure.com

127.0.0.1 f-secure.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.free-av.com

127.0.0.1 free-av.com

127.0.0.1 www.neuber.com

127.0.0.1 neuber.com

127.0.0.1 www.bleepingcomputer.com

127.0.0.1 bleepingcomputer.com

127.0.0.1 www.iknowprocess.com

127.0.0.1 iknowprocess.com

127.0.0.1 www.kaspersky.com

127.0.0.1 kaspersky.com

127.0.0.1 www.virustotal.com

127.0.0.1 virustotal.com

127.0.0.1 www.friendster.com

127.0.0.1 friendster.com

127.0.0.1 www.yahoo.com

127.0.0.1 yahoo.com

127.0.0.1 www.google.com

127.0.0.1 google.com

127.0.0.1 www.google.co.id

127.0.0.1 google.co.id

Terakhir, jika kita akan membuka Internet Explorer, maka akan muncul peringatan seolah-olah komputer kita akan di format. Hal ini dibuat virus dengan string sebagai berikut :

Ø HKCU\Software\Microsoft\Internet Explorer\Main

· Start Page = C:\Windows\system32\error.htm

· Window Title = i lov u chaca

Cara Mengatasi W32/SillyFDC.F :

Karena sulitnya melakukan pembersihan baik melalui normal maupun safe mode, maka ada beberapa langkah yang bisa anda pilih.

Anda bisa melakukan pembersihan dengan menjadikan drive/harddisk yang terinfeksi menjadi slave (sebelumnya anda bisa merename file msvbvm60.dll pada direktory C:\Windows\System32, menjadi file yang anda inginkan yang nantinya anda bisa rename kembali seperti semula jika virus sudah terhapus), untuk kemudian dilakukan proses scanning dengan antivirus yang ter-update atau dengan melakukan penghapusan secara manual.

Untuk itu anda bisa menggunakan fitur searching di Windows untuk menghapus secara manual file-file virus yang sudah ada dengan ciri-ciri :

- Ukuran file 122 kb

- Berextension *.exe

- Bertype file Application

Tampilkan folder WINDOWS yang di hidden dengan menggunakan dos command prompt

§ Klik [start]

§ Klik [run]

§ Ketik [cmd]

§ Pada dos prompt, ketik perintah attrib -s -h /s /d, kemudian tekan enter [sebelumnya pastikan anda berada pada direktori C:\WINDOWS], contoh C:\WINDOWS>attrib -s -h /s /d

§ Untuk mengambalikan file yang disembunyikan di drive lain, lakukan langkah di atas tetapi sebelumnya anda ganti terlebih dahulu lokasi drive yang akan di cek [contoh D:\>attrib -s -h /s /d]

Cara yang kedua yaitu bisa dengan menggunakan Linux Live CD seperti Knoppix/Ubuntu.

Anda bisa melakukan pembersihan virus sama seperti langkah-langkah diatas yaitu dengan mencari file virus yang berukuran file 122 kb, berextension *.exe dan bertype application.

Cara yang ketiga yaitu dengan menggunakan Windows Live CD/Bart PE/Mini PE, dengan melalui Live CD tsb kita dapat melakukan pembersihan sekaligus melakukan repair registry yang dibuat oleh virus.

Pembersihan virus tsb tidak jauh berbeda dengan langkah-langkah diatas, hanya saja dapat kita sertai dengan repair registry yang telah dibuat oleh virus (seperti halnya membuka registry editor melalui Windows).

String yang perlu kita ubah yaitu pada :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\winlogon

· Userinit = C:\windows\system32\userinit.exe

· Shell = explorer.exe

· System =

Ubah string registry yang terinfeksi menjadi string registry seperti diatas.

Jika sudah diubah, maka restart komputer anda, dan bisa melakukan booting melalui harddisk anda yang sudah di bersihkan dan di repair registry-nya.

Kemudian lakukan repair registry kembali untuk mengembalikan setingan windows menjadi normal. Copy script dibawah ini dengan program notepad, kemudian save as dengan nama repair.vbs (ubah save as type menjadi all types). Kemudian jalankan dengan dobel klik file tsb.

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\system",""

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit","C:\Windows\system32\userinit.exe,"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

RegisteredOrganization","Your Organization"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","YourOwner"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\","Application"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger",""

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\","

C:\Windows\notepad.exe %1"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

NoControlPanel")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\

System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\

Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\policies\Microsoft\system\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\Command Processor\Autorun")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\msconfig.exe")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\regedit.exe")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\killvb.exe")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\mmc.exe")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\rstrui.exe")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\tskmgr.exe")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\wscript.exe")

oWSH.RegDelete ("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\NeverShowExt")

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper ",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\BackupWallpaper",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Themes\LastTheme\Wallpaper",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrenTVersion\Windows\Load",""

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE",""

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","www.google.com"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title")